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Abstract 



According to the invention, access to elements wittiin a bus system or network may be controlled whereby an external device (100) 
identifies itself by means of a device-specific code with a bus or network manager (300). After authentication by means of a digital 
key the external device is given access according to the specific class thereof to elements of the bus system or network. 
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nes Bussystems oder Netzes identifizlert sich ein externes 
Gerat (100) uber eine geratespezifische Kennung bei ei- 
nem Bus- oder Nietzmanager (300). Nach einer Authentifi- 
zierurig anhand eines digitalen Schlussels wird dem ex- 
ternen Gerat ein Zugriff entsprechend seiner Zugehorig- 
keitzu einer bestimmten Klassie auf Elemente des Bussy- 
stems Oder Netzes gewahrt. 
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1 

Beschreibung 

Stand derTechnik 

[0001] Die Erfindung geht aus von einem Verfahren zur 5 
Steuerung des Zugrififs anf Hemente innerhalb eines Bussy- 
stems Oder Netzes. 

[0002] Aus dem IEEE Standard 1394 [1] ist ein serieUes 
Bussystem bekannt, bei dem verschiedene Endgerate (Kno- 
ten) entweder uber ein 4-6-adriges Kabel oder einen Licht-; K) 
wellenieiter angeschlossen werdeh. Miiidestens ein Knoten 
kann dabei in der Art ausgefiihrt sein, dass er zusatzlicbe ' 
Verwaltungsfunktionen fiir das Netzwerk ubemehmen kann 
(Busmanagement). 

[0003] Neben obigem Standard gibt es eine busunabhan- 15 
gige Erweiterurig, die unter dem Namen HA\^ (Home Au- 
dio Video interoperability) [2] spezifiziert ist. Diese HA\^- 
Spezifikation bescbreibt insbesondere die Fem-KontroUe 
von Geraten unter Verwendung eines Ressourcen-Mana- 
gers, der eine Ressource (Gerat) auf Anforderung belegt und 20 
sie auch wieder freigibt. 

[0004] In der HAM-Spezifikation wir ein verteiltes Mo- 
dell beschrieben, bei dem die Steuerung der Gerate iiber 
Kontrollmodule, sogenannte "Device Control Modules 
CDCM)", vorgenommen wird. Diese DCM laufen als Soft- 25 
wareelement auf dem Gerat, das KontroUfunktionen auf ei- 
nem anderen Gerat ausfiihren will. Dabei ist ein DCM je- 
weils spezifisch fiir ein bestinuntes Gerat oder eine Gerate- 



[0005] Der HAWStandard bietet die Moglichkeit, einem 30 
Softwareelement zwei verschiedene Sicherheitsstufen zuzu- 
weisen. Dabei wird ein Softwareelement als "trusted" be- 
zeichnet, wenn dieses vom Herstelier ausreichend getestet 
wurde. Bei Softwareeleraenteh, die dynamisch in das Sy- 
stem geladen werden, niiiss uber eine digitale Signatur die 35 
Authentizitat des Softwai^lements nacbgewiesen werden. 
AUe DCMs mussen den Status "trusted" haben. Als "untru- 
sted" werden diejenigen Softwareelemente bezeicbnet, die 
vom Herstelier nicht als "trusted" markiert wurden. Auf Ba- 
sis dieser Einstufung entscbeidet der Empfanger einer An- 40 
forderung, ob er dem sendenden Softwareelement vertraut, 
das heiBt auch ein "untrusted" Softwareelement kann Anfor- 
derungen senden, es ist jedoch nicht sichen ob diese Anfor- 
derung erfullt wird. 
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Voiteile der Erfindung 

[0006] Mit den MaBnahmen des Anspruchs 1 ist eine Si- 
cherheitisfunktion gewahrleistet, die insbesondere fiir den 
Einsatz in heterogenen Netzen, z. B. im Kraftfahrzeug, eine 
weitergehende Sicherheit gewahrleistet als sie mit dem 
HAVi-Standard zu erreicfaen ist: Insbesondere eignet sich 
die Erfindung bei der Kommunikation zwischen und mit 
Softwareelementen iiber verschiedene Bus- und/oder Netz- 
werktechnologien. Es wird eine eindeutige Identifikation 
von Geraten, beziehungsweise Softwareelementen inner- 
halb eines Netzes erreicht, das beispielsweise nach dem 
HAVi-Standard arbeitet Ein Gerat oder Softwareelement 
wird anhand einer geratespezifischen Kennung als Gerat ei- 
ner bestimmten Klasse erkannt. Die Authentizitat eines Ce- 
rates beziehungsweise Softwareeiementes wird anhand ei- 
nes digitalen Schliissels festgestellt. Nach der Authentifizie- 
rung wird dem Gerat ein Zugriff entsprechend seiner Klas- 
senzugehorigkcit auf Elemente des Bussystems oder Netzes 
gewahrt.. 

[0007] In den Unteranspriichen sind voiteilhafte Ausge- 
staltungen aufgezeigt.. 

[0008] Gemass Anspruch 2 ist es von Vorteil, dass sich ein 



extemes Gerat fur den Zugriff bei einem Gateway mittels d- 
ner Anmeldenachricht anmeldet, welche insbesondere zu- 
sammen mit der Geratekennung zum Bus- oder Netzmana- 
ger iibertragen wird. 

[0009] Nach Anspruch 3 wird neben der geratespezifi- 
schen Kennung auch eine Gerateklassenkennung iibertra- 
gen, anhand derer der Zugriff gesteuert werden kann. 
[0010] Durch die gemeinsame Schlusselvereinbarung ge- 
mass deh Anspriichen 4 und 5 insbesondere unter Verwen- 
dung des Diffie-Hellinan Key-Excbange kann ein Dritter 
diesen Schliissel nicht ermitteln. 

[0011] Nach Anspruch 6 wird nach der gemeinsamen 
Schliisselvereinbarung eine Authentisierung nach dem 
Challenge-Response- Verfahren durchgefiihrt 
[0012] Durch die MaBnahmen des Anspruchs 7 konnen 
sowohl Signalumsetzungen nach dem ISO/OSI-Schichten- 
modell in der Physical-Layer wie auch in hoheren Schich- 
ten, z. B. Adressumsetzungen, durchgefiihrt werden. 
[0013] Das Gateway kann nach Anspruch 8 vorteilhaft mit 
eino: FirewaUfunktionalitat ausgestattet werden, um einen 
unberechtigten Zugriff von einem anderen Netz zu verhin- 
dem. 

[0014] Gemass Anspruch 9 kann die Authentisierung dazu 
benutzt werden, festzustellen, welche Ressourcen des Bus- 
systems Oder Netzes ein extemes Gerat auf welche Art und 
Weise urid/oder kontrollieren darf . 

[0015] Der Bus- oder Netzmanager kann nach Anspruch 
10 vorteilhaft die aufgrund der von ihm ermittelten Zugiiffs- 
berechtigung die RrewalifimktionaHtat so konfigurieren, 
dass diese die Freigabe oder Sperrung der Ressourcen im 
Bussystem oder Netz vomimmt. 

[0016] Die Freigabe oder. Sperrung kann gemass An- 
spruch 11 vorteilhaft aufgrund der Quell- oder Zieladresse 
eines Datenpaketes vorgenommen werden. 
[0017] Nach Anspruch 12 kann die Firewallfunktionalimt 
entsprechend der ermittelten Zugriffsberechtigung, be- 
stimmte Kommandos eines extemen Cerates filtem. 
[0018] Anstelle dner festen Zuweisen der Zugriffsberech- 
dgung dutch den Bus- oder Netzmanager, kann gemass An- 
spruch 13 die Zugriffsberechtigung ausgehandelt werden. 
[0019] Anstelle eines extemen Gerates, kann gemass An- 
spruch 14 auch ein ganzes extemes Bussystem oder Netz 
eine Kommunikationsverbindung aufnehmen, um einen Zu- 
griff auf Elemente des Bussystems oder Netzes zu erhalten. 

Zeichnungen 

[0020] Anhand der Zeichnungen werden Ausfiihrungsbei- 
- spiele der Erfindung erlautert. Es zeigen 
50 [0021] Fig, 1 die Netztopologie eines Bussystems, 
[0022] Fig. 2 verschiedene Netzelemente, 
[0023] Fig. 3 die Authentisierung am Busmanager. 
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Beschreibung von Ausfuhrungsbeispielen 



[0024] Die Erfindung wird anhand des seriellen Bussy- 
stems gemass dem IEEE Standard 1394 [1] erlautert, wobei 
auch auf die Erweitening gemass HAVi-SpezifikaUon [2] 
Bezug genomraen wird. Vor der eigentlichen Erlauterung 
60 der Erfindung wird zum besseren Verstandnis auf den IKKk 
Standard 1394 und die HAVi-Spezifikation-eingegangen. 
AuBerdem werden einige Begriffe zum Verstandnis erlau- 
tert. 

[0025] Die verschiedenen Endgerate (Knoten) sind nach 
65 Fig, 1 entweder iiber ein 4^6-adriges Kabel oder einen 
Lichtwellenleiter 1 angeschlossen. Dabei kann ein Knoten 
wahlweise als Endstuck (Blatt) 200 oder als Relaisknoten 
(Zweig) 300, 400 ausgefuhrt sein. Der oberste Knoten wird 
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als Wurzel bezeichnet. Durch den Einsatz der verschiedenen 
Knotentypen kann eine geeignete Topologie des Netzes auf- 
gebaut werden. Bin Blatt empfangt dabei Informationspa- 
kete und verarbeitet sie, falls die Ziel-Adresse des Paketes 
mit der dgenen ubereinstimmt. Ein Zweig muss zusatzlich 5 
alle Pakete, die er auf einem Port empfangt auf alien anderen 
Ports aussenden. 

[0026] IEEE 1394 sieht vor, dass das Netzwerk selbsdcon- 
figurierend ist, d h. nach dem Einschalten oder nach einem 
Reset senden alle Knotea einige ausgewahlte Infprmatipnen ,io 
uber sich seibst ins Netz. Diese Infonnatioh' wird dabei von 
alien Knoten empfangen. Ein Knoten. kann dabei in der Art 
ausgefuhrt sein, dass er zusatzliche Verwaltungsfunkdonen 
fiir das Netzwerk ubemehmen kann (Busmanagement). 
Dazu sammelt er aUe Informationen der anderen Knoten, 15 
verarbeitet sie und speichert sie intern geeignet ab. SoUten 
mehrere Knoten Busmanagementfahigkeiten besitzen, gibt 
es ein Konkurrenzyerfahren, aus dem ein Knoten als Sieger 
hervorgeht, der dann das Busmanagement iibemimmt. 
[0027] Neben den Verfahren, wie sie in den Spezifikatio- 20 
nen zu ihhk 1394 beschrieben sind, gibt es die busunabhan- 
gige Erweiterung HAVi, die fur den Einsatz in einem IEEE 
1394-Netzwerk geeignet ist, Insbesondere die Fem-Kon- 
troUe von Geraten von jedem anderen Punkt im Netzwerk 
wird in der HAVi-Spezifikation beschrieben. Dazu ist ein 25 
verteiltes Modell beschrieben, bei dem die Steuerung der 
Gerate iiber Kontrollmodule, sogenannte "Device Control 
Modules (DCM)", vorgenommen wird. Diese DCM laufen 
als Softwareelement auf dem Gerat, das Kontrollfunktionen 
auf einem anderen Gerat ausfuhren will. Dabei ist ein DCM 30 
jeweils spezifisch fiir ein bestimmtes Gerat oder eine Gera- , 
teklasse. Eine weitere Gruppe von.Sbftwareelementen stel- 
len die "Functional Component Modules" dai; von denen je- 
weils mehrere Hierarchisch; uiiterhalb eines DCM angeord- 
net werden konnen und die fur die Kontrolle jeweils eines 35 
spezifischen funktionalen. Teils eines Gerates zustandig 
sind. 

[0028] Ein Gateway dient der Verbindung zweier Netz- 
. werke untereiriander. Dabei wird unterschieden, auf wel- 
chem Netzwerklayer (vgL ISO/OSI-Schichtenmodell) diese 40 
Verbindung vorgenommen wird. So ist ein Gateway, wel- 
ches nur den ersten (physical-Layer) umfaBt, im Wesentli- 
chen nur ein Umsetzer von physikalischen Gegebenheiten, 
z. B. ein elektro-optischer Wandler^ hier werden die eigent- 
Lichen Daten nicht verandert, Ein Gateway, das auch hohere 45 
Schichten beinhaltet, Wertet zusatzlich bestimmte Datenfel- 
der aus und verandert diese gegebenen£alls entsprechend 
den Erfordemissen des Zielsy stems, z. B. kann eine Adress- 
umsetzung der Ziel- und Quelladresse vorgenommen wer- 
den, wenn die beiden verbundenen Netze unterschiedliche 50 
Adressierungsschemata verwenden. . 
[0029] Eine Firewall dient der Absicherung eines Netzes 
gegen einen unberechtigten ZugrifF von einem anderen Netz 
aus, z. B. von einem Teilnetz aus auf ein anderes Teilnetz. 
[0030] Bei einer Authentisierung fiihrt ein Kommmiikati- 55 
onsteilnehmer einem anderen Kommunikationsteilnehmer 
gegenuber den Nachweis seiner Identitat. 
[0031] Der Globally Unique Identifier (GUID) ist eine im • 
IEEE 1394-Staridard festgelegte Nummer, die aus einer 
24 Bit langen HersteUerkennung und einer 40 Bit langen, 60 
vom Hersteller wahlbaren Zahl besteht. Die HersteUerken- 
nung wird dabei von der IEEE auf Anfrage eindeutig zuge- 
wiesen. Die GUID wird fest in ein IEEE- 1394 konformes 
Gerat gespeichert und identifiziert dieses eindeutig. 
[0032] Die Model ID ist ein 24 Bit langes Datenfeld, mit 65 
dem der Hersteller eines Gerates die Zugehorigkeit zu einer 
bestimmten Geratekiasse oder -Familie kennzeichnen kann. 
[0033] Das erfindungsgemaBe Verfahren. dient dazu, die 



Authentisierung eines Gerates durchzufuhren, das beispiels- 
weise an ein Fahrzeugnetzwerk angeschlossen wird. Dabei 
wird im AUgemeinen ein internes Netz mit einem iiber ein 
Gateway bereitgestellten extemen Anschlufi vorgesehen. 
Dieser AnschluB wird in der Folge als Anwender-Port be- 
zeichnet. Das Gateway ist notwendig, um einerseits die phy- 
sikalische Umsetzung vorzunehmen, d h. beispielsweise 
eine Umsetzung von einem internen lichtwellenleiter auf 
einen extemen elektrischen oder drahtlosen Anschlufi und 
andererseits gegebenenfaUs eine Protokollumsetzung durch- 
zufuhren. Aufierdem ist unter Umstanden die Integration ei- 
ner Firewall gewiinscht, um die Sicherheit des internen Net-, 
zes zu gewahrleisten. 

[0034] Da an den Anwender- AnschluB auch Gerate ange- 
schlossen werden konnen, die sensitive Daten mit dem inter- 
nen Netz austauschoi, z. B. ein Werkstattdiagnosegerat, ist 
es notwendig, eine sichere Authentisierung einerseits des 
angeschlossenen Gerates, aber auch des Netzes durchzufiih- 
ren. Das erfindungsgemaBe Verfahren verwendet dabei ei- 
nen Mechanismus zum sicheren Austausch eines Schltissels, 
der als.Dif&e-HeUmann Key-Exchange bekannt ist (siehe 
[3], Kapitel 7. 1 .5.2). AuBerdem wird eine Authentisierungs- 
prozedur verwendet, die als Challehge^Response Verfahren 
bekannt ist ([3], Kapitel 7.1.5.1). 

[0035] Angenommen werden drei beteiligte Instanzen 
(Fig, 2). Das exteme Gerat 100 wird ah den Anwender-An- 
schluB angeschlossen. Dieser ist wiederum iiber das Gate- 
way 200 an das interne Netzwerk 1 des Fahrzeugs ange- 
schlossen. In diesem Netzwerk dient der Busmaster, bezie- 
hungsweise Busmanager oder Netzmanager 300 als eine 
zentrale Kontrollinstanz, die insbesondere auch die Authen- 
tizitat angeschlossener Gerate iiberwacht. 
[0036] Nach dem AnschlieBen des extemen Gerates 100, 
meldet sich dieses beim Gateway 200 an. Mit dieser Anmel- 
denachricht 12 (Fig, 3) ubertragt das Gerat 100 seine GUID 
und vorteilhafter Weise auch seine Model ID. AuBerdem be- 
inhaltet die Nachricht auch eine Primzahl n, fiir die gilt: (n - 
1)12 ist ebenfalls eine Primzahl und eine Primzahl g. AuBer- 
dem wahlt das Gerat intern eine ZufaUszahl x. Zusatzlich zu 
n und g wird noch das Ergebnis der Operation (g^ mod n) an 
das Gateway 200 tibertiagen. Das Gateway Ubeinimmt alle 
diese Parameter und sendet sie an den internen Busmanager 
300 weiter (13). Der Busmanager 300 wahlt nun seinerseits 
eine ZufaUszahl y und berechnet auf Basis der vom Gerat 
100 ubertragenen Werte das Ergebnis der Operation (g^ mod 
n). Dieses Ergebnis wird an das Gateway (14) und von dort 
an das Gerat 100 iibermittelt (15). Mit Hiife der Ergebnisse 
der beiden Operationen konnen nun sowohl das exteme Ge- 
rat 100 und der Busmanager 300 das Ergebnis der Operation 
Kbb = (g^ DQod n) berechnen. Dieses Ergebnis Keb dient in 
der Folge als gemeinsamer Schliissel (16) fiir die folgende 
Authentisierung. Diese Moglichkeit, einen gemeinsamen 
Schliissel zu bestimmen, ohne dass ein Dritter diesen ermit- 
teln kann, wird als Dif&e-HeUmann Key-Exchange bezeich- 
net. 

[0037] Nachdem ein gemeinsamer Schliissel (16) sowohl 
im extemen G^at 100 als auch im Busmanager 300 exi- 
stiert, wild die Authentisierung nach dem Challenge-Re- 
sponse Verfahren durchgefiihrt. Dabei generiert der Busma- 
nager 300 eine ZufaUszahl Rb (die sogenannte Challenge) 
und sendet (17, 18) diese an das exteme Gerat 100. Das ex- 
teme Gerat 100 verschlusselt die Challenge mit dem ge- 
meinsamen. Schliissel Keb und sendet das Ergebnis (19) 
iiber das Gateway 200 zuriick (20) an den Busmanager (so- 
genannter Response). AuBerdem enthalt diese Nachricht 
eine ZufaUszahl Re, die als Challenge dem Busmanager ge- 
sendet wird. Der iiberpriift jetzt, ob die ZufaUszahl Rb mit 
dem korrekten Schliissel Keb verschlusselt wurde. Nach der 
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VerifikatioD verschlUsselt der Busmanager die ChaUenge 
ebenfalls mil detn Schlussel Keb und sendet das Ergebms 
(21 22) an das exteme Gerat 100. Dieses uberpriitt seiner- 
sete die Richtigkeit des Ergebnisses. Wenn beide Uberpru- 
togen ein korrektes Etgebnis geUefert haben haben sich 
beide Kommunikationspartner (Gerat 100 und Busmanager 
300) authentifiziert Der Busmanager kann jetzt auf^und 
der in der GUID enthaltenen HersteUerkennung, anhand der 
in der GUID enthaltenen Seriennummer oder besonders vor- 
teilhaftderModellD denZugriff auf bestimmteRessourceii 
des Netzes erlauben oder auch spenen. ' • . ■ 
r00381 Besonders voneilhaft beinhaltet ein Gateway 200 
neben der Umsetzung von physikalischen Gegebe^eiten 
und/oder ProtofcbUen auch eine Firewallfimktionalitat 201. 
Dabei wird in besonders vorteilhafter Weise das zuvor be- 
schriebene Verfahren zur Authentisierung genutzt, urn fest- 
zustellen. welche Ressourden ein extemes Gerat auf jelche 
Art und Weise verwenden und/oder kontroUieren darf . 
(00391 Der Busmanager 300 eikennt aufgrund der m der 
GUID enthaltenen HersteUe±ennung (Vendor ID) undfoder 
der Seriemiummer und/oder der zusatzUchen Model ID um 
weldien Geratetyp, beziehungsweise auch um welches Oe- 
. rit es sich bei dem externen GerSt l»^delt Nach emem in- 
temen Veifahren legt der Busmanager 300 che Zugn&be- 
rechtigungen auf die Netielemente ffir dieses Gerat 100 fest. 
Aufgnind dieser ermittelten Zugiiffsberechtigungen konfi- 
guriert (24) der Busmanager 300 das Firewall-Modul 201 
innerhalb des Gateways 200 so, dass dieses e^prech«id 
der festgelegten Berechtigungen spent oder offiiet Dabei 
konnen die Berechtigungen aufgrund der QueUadresse d. h. 
der Herkunftsadresse eines Datenpaketes oder aufgrund der 
Zieladresse eines Datenpaketes eingestellt werden. Mog- 
lich, aber aufwendiger ist eine Filterung bestimmter Kom- 
mandos. Dabei muss (Be Firewall ein Dat^npaket jedoch 
' sehrdet^ertauswerten- ' ^. ^ • » ■ 

[00401 Im Ausfuhningsbeispiel gemass Fig. 2 ist ein ex- 
temes Gerat 100 iiber eine Funkschnittstelle an em Oatew-ay 
200 mit dem fahrzeugintemen Netzwerk 1 vMbunde^. Im 
fahrzeugintemen Netzwerk befindet sich imndesteiK em als 
Busmanager (Busmaster). ausgezeichnetes Gerai 300 und 
ein weiteres Gerat 400. j • k 

[00411 In diesem Beispiel wird angenommen, dass es sicn 
bei dem externen Gerat um ein Werkstattdiagnosegerat han- 
deU Dieses Diagnosegerat beinhaltet eine FunkUon, nut der 
es moglich ist, eine Kojiununikation auf dem fahrzeugmtM- 
nen Gerat 400 durchiutfuhren und auf diesem Gerat, z. a. 
eine zentrale Steuaeinhdt, Enstellung auszulwen und zu 
verandem. Da diese Veranderungen bei einer fiehlerhaften 
Bedienung EinfluB auf die Funktion des Gerates oder des 
Fahrzeuges haben konnen, ist fiir den Zugriff auf diese Steu- 
ereinheit eine Authentifiziening vorgesehen, d. h. das Dia- 
gnosegerat erhalt nUr Zugriff auf die Steuereinheit, wena 
sich das Gerat und/oder der Anwender gegenuber dem Bus- 
manager 300 authentifiziert. Dazu tauschen das Diagnose- 
gerat und der Busmanager zunachst einen Schlusselsatz aus, 
um die nachfolgende Authentifiziening durchfiihren zu kon- 
nen AnschUeBend wird ejne Authentifizierung durchge- 
fiihrt Nach der erfolgreichen Authentifizierung entscheidet 
der Busmanager, welche Art von Zugriff das Diagnoseg^t 
auf die Elemente des fahrzeugintemen Netzwerkes erhalt 
und konfiguriert das FirewaU-Modul 201 innerhalb des 
" Gateways 200 entsprechend. In diesem Beispiel erkennt der 
Busmanager ein autorisiertes Diagnosegerat des Fahizeug- 
hersteUeis und gibt vollen Zugriff auf aUe Gerate d^ Netz- 
werkes fi^. Damit kann jeUt beispielsweise eine Aktuali- 
siemng von Betriebs- oder Anwendungssoftware oder eme 
Fehlerdiagnose des Systems durchgefuhrt werden.. 
[0042] In einemweiteren Ausfuhningsbeispiel nach Fig. 1 



ist das extern angeschlossene Gerat diesmal kein autonsier- 
tes Diagnosegerat, sondem ein Handheld-Computer, nut 
dem ein Anwender Informationen zu einem im Fahrzeug m- 
stallierten Gerat, z.B. Navigationsgerat 400, ubertragen 
5 mochte. Nach der Authentifizienmgsprozedur whaltet der 
Busmanager 300 im Fuewall-Modul 201 fiir das «cteme 
Gerat 100 nur den Zugriff auf das Navigationsgerat 400 mit 
den fiir den Datenaustausch benotigten Steueibetehlen fica. 
Ein Zugriff auf andere Gerate oder andercn Befehlrai istim 
10 externen Gerat nicht moglich, da diese vom FirewaU-Modul 
biockiart weiden. 

[00431 AltematLv kBnaen die Zugangsberechtigungen 
zwischen dem Busmanager 300 und dem externen Gerat 
100 verhandeU wodea. Dabei kann das exteme Gerat be- 
ts stimmteZugri£fsberechtigmigenanfonlem.diederBusmar 
nager dann gewahren Oder ablehnen kana 
(00441 AnsteUe eines an das Gateway 200 angeschlosse- 
nen externen Gerates 100 kann auch ein extemes Netzwerk 
angeschlossen werden, das mit dem Netzwerk in Kommum- 
20 kadonsverbindung treten mochte. Die Prozeduren der Iden- 
tifikaticm and der Authentifiziening laufen wie zuvor ge- 
schildert ab. Das Netzwak.kann natiirUch auch mehrere 
Gateways aufvireisen, fiber die mehrere Gerate oder Netee 
angeschlossen sind, die zeitlich gestafifelt oder gleich^itig 
. 25 auf das Bussystem oder Netz zugreifen. Insbesondere ba ei- 
nem gleichzeitigen Zugriffswunsch auf die gl«che Res- 
source, gewahrt der Busmanager 300 den Zugriff nach za- 
vor vereitibarten Prioritaten oder durch Verhandlung. 
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Patentanspriiche 

40 1 Verfahren zur Steuening des Zugriffs auf Elemente 
innerhalb eines Bussystems Oder Netzes mit folgendm 

Schritten: . , t, 

- ein extemes Gerat (100), das mit dem Bussy- 
stem Oder Netz in Kommunikationsverbindung 

45 treten mOchte, identifiziert sich uber eine gerate- 

spezifische Kennung bei einein Bus- oder Netz- 
manager (300), wobei die geratespezifische Ken- 
nung selbsl Oder ein ihr zugeordneter Datensatz 
Angaben iiber die Zugehorigkeit des Geraes zu 
50 ein« bestimmten Klasse enthalt, 

- es wird eine Authentifiziening des externen Ge- 
rates (100) anhand eines digitalen SchlUssels vor- 
genommen, 

- nach der Authentifiziening wird dem extemen 
55 Gerat (10b) ein Ziigriff entsprechend seiner Klas- 

senzugehorigkeit auf Hemente des BussysteiM 
oder Netzes gewahrt. • . 

2 Verfahren nach Anspnich 1, dadurch gekenmeict • 
net, dass sich das exteme Gerat (100) fiir den Zugriff 

60 bd einem Gateway (200) mittels einer Anmeldenach- 
richt anmeldet, welche insbesondere zusammen mit der 
Geratdcennung zum. Bus- oder Netzmanager (300) 

ubwtragen wird. . 

3 Verfahrai nach Anspnich 2, dadurch gekennzeich- 

65 , net, dass neben der geratespezifischen Kennung auch 
eine Gerateklassenkennung ubertragen wird. 

4 Verfahren nach einem der Anspruche 1 bis 3, da- 
durch gekennzeichnet, dass eine gemeinsame Schlus- 
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selvereinbarung zwischen dem extemen Gerat (100) 
und dem Bus- oder Netzmanager (300) vorgenommen 
wird, insbesondere durch den Austausch. von Parame- 
tem, wie Primzahlen, Zufallszahlen und deren Ver- 
kniipfungen. 5 

5. Varfahren nach Anspruch 4, dadurch gekennzeich- 
net, dass zur gemeinsamen SchlQsselvereinbarung das 
Diffie-Hellmann Verfahren verwendet wirjd. 

6. Verfahren nach einem der Anspriiche 1 bis 5, da- 
durch gekennzeichnet, dass nach der gemeinsamen iO 
Schlusselvereinbarung zwischen .iieni exteniien Gerat 
(100) und dem Bus- oder Netzmanager (300) eine Au- 
thentisierung nach dem Challenge-Response Verfahren 
durchgefiihrt wird. 

7. Verfahren nach einem der Anspriiche 2 bis 6, da- 15 
durch gekennzeichnet, dass das Gateway (100) eingcr . 
richtet ist, Signalumsetzungen nach dem ISO/OSI- 
Schichtenmodell zumindest in der Physical- Layer und/ 

oder hoherer Schichten durchzufiihren. 

8. Verfahren nach einem der Anspriiche 2 bis 7, da- 20 
durch gekennzeichnet, dass das Gateway (200) einge- 
richtet ist, eine Fiiewallfunktionalitat (201) durchzu- 
fiihren. 

9. Verfahren nach Anspruch 8, dadurch gekennzeich- 
net, dass die Auth^tisierung dazu genutzt wird, festzu- 2S 
stellen, welche Ressourcen des Bussystems oder Net- 
zes das exterae Gerat (100) aiif welche Art und Weise 
verwenden und/oder kontrollieren darf . 

10. Verfahren nach einem der Anspriiche 8 oder 9, da- 
durch gekennzeichnet, dass der Bus- oder Netzmana- 30 
ger (300) aufgrund der yon ihm ermittelten Zugrififsbe- 
rechtigung die Fiiewallfunktionalitat (201) so konfigu- 
riert, dass diese entsprechend der ermittelten Zugriffs- . 
berechtigung, eine Freigabe oder Sperrung der Res- 
sourcen des Bussystems oder Netzes vomimmt. 35 

11. Verfahren nach Anspruch 10, dadurch gekenn- 
zeichnet, dass die Freigabe oder Sperrung aufgrund der 
Quelladresse oder der Zieladresse eines Datenpaketes 
vorgenommen wird. 

12. Verfahren nach Anspruch 10, dadurch gekenn- 40 
zeichnet, dass die FirewalJfunktionalitat 001) entspre- 
chend der ermittelten ZugrifiFsberechtigung, bestimmte 
Konunandos des extemen Gerates (100) liltert. 

13. Verfahren nach einem der Anspriiche 1 bis 12, da- 
durch gekennzeichnet, dass die Zugriffsberechtigung 45 
zwischen dem extemen Gerat (100) und dem Bus- oder. 
Netzmanager (300) ausgehandelt wird. 

14. Verfahren nach einem der Anspriiche 1 bis 13, da- 
durch gekennzeichnet, dass ans telle eines exiamen Ce- 
rates (100) oder zusatzlich ein extemes Bussy stem oder 50 
Netz eine Konmiunikatibnsverbindung mit dem Bussy- 
stem. oder Netz aufoinunt, um einen Zugriff auf Ele- 
mente des Bussystems oder Netzes zu erhalten. 

. Hierzu 2 Seite(n) Zeichnungen - 55 
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